-
Junior Member
- Вес репутации
- 62
После лечения вирусов Винда не грузится, только "Безопастный режим"
Поймал сегодня несколько вирусов, полечил AVZ, ребутнулся и все, в обычном режиме не грузится, только безопасный, и при скане AVZ все еще что то находит, но удалить/лечить не может.
Если в безопасном режиме позволять подгружать файлы vax347b.sys и sptd.sys то и безопасный режим тоже не работает.
Совсем не хочется виндовс переустанавливать. Прошу вашей помощи!
Логи прилагаю, все сканы соответственно из Safe Mode.
virusinfo_cure.zip весит 453 кб и форум пишет что не может его загрузить
Последний раз редактировалось Nobil; 03.04.2008 в 14:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.В avz выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
DeleteService('Microsoft Int Service');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Пофиксить в HiJackThis
Код:
O23 - Service: Microsoft Int Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
3.Выслать карантин согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 62
Карантин выслал, правда AVZ ругался что не может скопировать файл в карантин, но видимо зря ругался.
-
Повторите логи. virusinfo_cure.zip загрузите через ссылку http://virusinfo.info/upload_virus.php?tid=16334
-
-
Junior Member
- Вес репутации
- 62
вот свежие логи, virusinfo_cure.zip загружен по ссылке.
Последний раз редактировалось Nobil; 03.04.2008 в 14:23.
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Деинсталлируйте (временно) DaemonTools. Попробуйте после этого загрузиться в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Пофиксил.
Выполнил скрип, карантин пуст Слать нечего.
DaemonTools родным анинсталом удалятся не хочет, я так понимаю просто удалив папку DaemonTools я его не удалю, как его правильно удалить?
-
Попробуем пока просто отключить его драйверы:
Код:
begin
SetServiceStart('sptd', 4);
SetServiceStart('vax347b', 4);
RebootWindows(true);
end.
Загрузится ли теперь в нормальном?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Да, загрузился в нормальном режиме, вы Гений
Как быть с DaemonTools? Пробовать его поставить поверх старого, и удалить корретно через его родной анинстал?
-
Попробуйте теперь удалить DaemonTools штатным деинсталлятором.
(Воможно он просто не мог работать в безопасном).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Нет, не удаляется, в списке установка\удаление его нет, а из папки uninst.exe думает что он не установлен и пишет буквально следующее:
Setup is unable to validate in installation.
-
Тогда ставьте заново поверх старого. Надеюсь, после этого винда не рухнет опять
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
К сожалению все повторилось, Daemoon Tools находится на образе, который хотел смонтировать с помощью Alcohol 120%, начал ставить Alcohol 120% и снова та же проблема, остановил драйвер vax347b который инсталлит Alcohol 120%, все работает, но программы нужны
-
Сделайте новый комплект логов в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
новые логи. Новая проблема, только что обнаружил, при правом клике почти на любом файле, explorer.exe выдает ошибку и вылетает.
Последний раз редактировалось Nobil; 03.04.2008 в 14:23.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntio922.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Файл сохранён как080113_090027_virus_478a278b5cc6c.zipРазмер файла47276MD57938f7717cd3699907979bf885ed9f22
Проблема с вылетанием explorer.exe осталсь
-
Oreans.sys - чистый,
ntio922.sys и ndisaluo.sys - Trojan-Proxy.Win32.Wopla.at
Сделайте еще раз лог syscure, надо убедиться в успешном их удалении.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Выложил. А с вылетанием експлорера что посоветуете?
Последний раз редактировалось Nobil; 03.04.2008 в 14:23.
-
Нормально удалились, остались следы в реестре.
Выполните скрипт:
Код:
begin
BC_DeleteSvc('ntio922');
BC_DeleteSvc('ndisaluo');
BC_Activate;
RebootWindows(true);
end.
Дальше план такой:
1. Удаляем Alcohol.
2. Удаляем NOD32.
3. Устанавливаем обратно Alcohol.
4. Устанавливаем Daemon Tools.
5. Устанавливаем NOD32 или другой антивирус.
Надеюсь все получится.
I am not young enough to know everything...
-